NOU. IKT-sikkerhet i alle ledd. Norges offentlige utredninger 2018: 14. Organisering og regulering av nasjonal IKT-sikkerhet

Transkript

1 NOU Norges offentlige utredninger 2018: 14 IKT-sikkerhet i alle ledd Organisering og regulering av nasjonal IKT-sikkerhet

2 Norges offentlige utredninger 2018 Seriens redaksjon: Departementenes sikkerhets- og serviceorganisasjon Teknisk redaksjon 1. Markeder for finansielle instrumenter Finansdepartementet 2. Fremtidige kompetansebehov I Kunnskapsdepartementet 3. Krisehåndtering i forsikrings- og pensjonssektoren Finansdepartementet 4. Sjøveien videre Samferdselsdepartementet 5. Kapital i omstillingens tid Nærings- og fiskeridepartementet 6. Varsling verdier og vern Arbeids- og sosialdepartementet 7. Ny lov om offisiell statistikk og Statistisk sentralbyrå Finansdepartementet 8. Grunnlaget for inntektsoppgjørene 2018 Arbeids- og sosialdepartementet 9. Regnskapsførerloven Finansdepartementet 10. Nye prospektregler Finansdepartementet 11. Ny fjellov Landbruks- og matdepartementet 12. Energiaksjer i Statens pensjonsfond utland Finansdepartementet 13. Voksne i grunnskole- og videregående opplæring Kunnskapsdepartementet 14. IKT-sikkerhet i alle ledd Justis- og beredskapsdepartementet

3 NOU Norges offentlige utredninger 2018: 14 IKT-sikkerhet i alle ledd Organisering og regulering av nasjonal IKT-sikkerhet Utredning fra utvalg oppnevnt ved kongelig resolusjon 15. september 2017 Avgitt til Justis- og beredskapsdepartementet 3. desember 2018 Departementenes sikkerhets- og serviceorganisasjon Teknisk redaksjon Oslo 2018

4 ISSN ISBN Media AS

5 Til Justis- og beredskapsdepartementet Utvalget om organisering og regulering av nasjonal IKT-sikkerhet ble oppnevnt ved kongelig resolusjon 15. september Utvalget gir med dette sin utredning. Oslo 3. desember 2018 Hans Christian Holte Leder Terje Wold Håkon Grimstad Lillian Røstad Torgeir A. Waterhouse Marie Moe Lee A. Bygrave Therese Steen Roger Kolbotn og Sveinung Torgersen Sekretariatsleder Christian Frederik Mathiessen Ola Hermansen Harald Fardal Anniken Grønli Foss Anders Bjønnes Klaus Søreide

6

7 Innhold Del I Innledning Sammendrag Ny lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning Krav om IKT-sikkerhet ved anskaffelser Etablere et nasjonalt IKT-sikkerhetssenter Tydelig regulering og ansvar for tilkoblede produkter og tjenester Tydeligere styring og bedre koordinering av nasjonal IKT-sikkerhet Mandat, sammensetning og arbeidsmåte Mandat Utvalgets mandatforståelse Begrepet IKT-sikkerhet Forsvarlig nasjonal IKT-sikkerhet Regulering Organisering Øvrige avgrensninger Sammensetning og utvalgets arbeid Struktur og innhold Del II Situasjonsbeskrivelse IKT-risikobildet Verdier Sårbarheter Trusler Teknologitrender og sikkerhetsutfordringer Kunstig intelligens og maskinlæring Tingenes internett G Myndighetenes arbeid med IKT-sikkerhet Statens målsettinger med IKT-sikkerheten Sentrale departementer og etater Lokalt og regionalt nivå Nasjonale samordningsarenaer Internasjonalt samarbeid Regulering av IKT-sikkerhet Eksisterende regelverk Ny lovregulering Virkemidler i staten Juridiske virkemidler Organisatoriske virkemidler Del III Utfordringsbildet Styrings- og samordningsutfordringer Digitaliseringen av samfunnet utfordrer oppgaveløsning, ansvar og roller Samfunnssikkerhet og statssikkerhet overlapper Råd og veiledning fremstår fragmentert og lite koordinert Utfordringer med koordinering og informasjonsdeling ved uønskede digitale hendelser Koordinerings- og informasjonsbehovet Ulike krav til håndtering av uønskede digitale hendelser Tilsyn med IKT-sikkerhet oppleves som mangelfullt og lite koordinert Manglende koordinering av tilsyn Mangler i tilsynsvirksomheten Mangelfull regulering av IKT-sikkerhet Krav om sikring av informasjon er ikke tilstrekkelig Varierende krav om IKT-sikkerhet Lite hensiktsmessig regulering av IKT-sikkerhet i offentlig forvaltning Begrensninger i sikkerhetsloven Manglende insentiver for å investere i IKT-sikkerhet... 57

8 12 Anskaffelser og digitale sårbarheter Mangelfull regulering Offentlige anskaffelser Tjenesteutsetting Utfordringer med IKT-sikkerhet i tilkoblede produkter og tjenester Mangelfull regulering Uklart myndighetsansvar Offentliggjøring av digitale sårbarheter Del IV Tiltak og anbefalinger Innledning Ny lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning Virkeområde Relevante lover Utvalgets vurdering Sikkerhetskrav Sikkerhetskrav i utkastet til NIS-lov Utvalgets vurdering Krav om varsling av hendelser Etterlevelse Tilsyn Sanksjoner Veiledning og sertifisering Myndigheter Forholdet til eksisterende lover og forskrifter Lovutvalg for å vurdere en IKT-sikkerhetslov for alle virksomheter Rapporteringskrav Krav om IKT-sikkerhet ved anskaffelser Krav om IKT-sikkerhet i anskaffelsesregelverket og Statens standardavtaler Bedre veiledning om anskaffelsesregelverket og Statens standardavtaler Etablere et nasjonalt IKT-sikkerhetssenter Oppgaver og innretning Oppgaver som kan inngå i et IKT-sikkerhetssenter Organisering og myndighetsforankring Behovs- og kostnadsanalyse Tydelig regulering og ansvar for tilkoblede produkter og tjenester Tydeligere styring og bedre koordinering av nasjonal IKT-sikkerhet Justis- og beredskapsdepartementet må være tydeligere i sitt lederskap på IKT-sikkerhetsområdet Tilsyn må koordineres bedre Del V Økonomiske og administrative konsekvenser Økonomiske og administrative konsekvenser Vedlegg 1 Relevant IKT-sikkerhetsregelverk Relevant EU-regelverk Regulering og organisering i andre land Datagrunnlag Forkortelser Litteraturliste Digitalt vedlegg: Oslo Economics, Samfunnsøkonomisk vurdering av anbefalinger fra IKT-sikkerhetsutvalget, OE rapport 2018:37

9 Del I Innledning

10

11 NOU 2018: 14 9 IKT-sikkerhet i alle ledd Kapittel 1 Kapittel 1 Sammendrag Liv og helse, demokrati og rettssikkerhet, økonomisk velferd og nasjonens suverenitet er viktige verdier som må beskyttes for å kunne opprettholde et trygt, fritt og velfungerende samfunn. Mange sider ved den teknologiske utviklingen kan styrke og bygge opp under disse verdiene. Teknologi kan for eksempel benyttes til å utvide helsetilbudet, bidra til effektivisering av virksomheter og gi nye måter for enkeltindivider å uttrykke seg på i sosiale medier. Den teknologiske utviklingen gjør at det norske samfunnet i stadig større grad kobles sammen, og avhengighetene mellom virksomheter og mellom sektorer blir stadig sterkere. Norsk næringsliv og forvaltning har i tillegg stadig tettere bindinger til andre land. IKT-infrastrukturen representerer en stor og fortsatt økende samfunnsmessig verdi. Stadig mer informasjon lagres, transporteres og behandles digitalt, og nye tjenester, prosesser og produkter utvikles fortløpende. Den teknologiske utviklingen skaper nye og endrede risikoer og utfordringer som må håndteres. Utvalget er gitt i oppdrag å vurdere om dagens regulering av IKT-sikkerhet er hensiktsmessig gitt de samfunnsutfordringene Norge står overfor. Utvalget er også bedt om å vurdere organiseringen av tverrsektorielt ansvar på IKT-sikkerhetsområdet. Ansvar, roller og oppgaver må være hensiktsmessig fordelt mellom etatene. Utvalget legger tre overordnede prinsipper til grunn for sine anbefalinger. Arbeidet med IKTsikkerhet må ha en risikobasert tilnærming som innebærer at vesentlig risiko prioriteres. Videre må IKT-sikkerhet balanseres opp mot brukervennlighet, økonomi og grunnleggende menneskerettigheter. En slik balanse innebærer at noe risiko må aksepteres for å oppnå økonomiske og sosiale mål. Til slutt krever arbeidet med IKT-sikkerhet en fleksibilitet i reguleringen og organiseringen slik at man kan tilpasse seg nye trusler, sårbarheter, teknologier og forretningsmodeller. Nedenfor følger et sammendrag av utvalgets anbefalinger for å styrke den nasjonale IKT-sikkerheten. Utvalget står samlet bak anbefalingene. 1.1 Ny lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning Digitaliseringen av samfunnet gjør at virksomheter står overfor et stadig mer komplekst IKT-risikobilde. For at et digitalt samfunn som Norge skal fungere, er det nødvendig å minimere risikoen for at utilsiktede og tilsiktede hendelser rammer IKTsystemer. Til tross for potensielt betydelige økonomiske, sikkerhetsmessige og omdømmemessige konsekvenser har virksomheter ikke alltid tilstrekkelige insentiver til å beskytte seg mot digitale trusler. Etter utvalgets vurdering håndteres ikke utfordringene på en hensiktsmessig måte i gjeldende regulering. En rekke lover og forskrifter stiller krav om IKT-sikkerhet. Det stilles imidlertid ikke alltid hensiktsmessige krav om sikring av IKTsystemer som understøtter virksomheters produksjon av varer og tjenester. Gitt det gjeldende IKT-risikobildet mener utvalget at det må utarbeides en ny lov hvor det stilles krav om forsvarlig IKT-sikkerhet til alle samfunnskritiske virksomheter og offentlig forvaltning. Den nye loven skal også gjennomføre NIS-direktivet i norsk rett. Kravene som følger av loven, må konkretiseres i forskrift og veiledning. Utvalget mener at det ikke er nødvendig å sanere og harmonisere eksisterende regelverk før vedtakelse av loven. Det er viktigere å sørge for at det i fremtiden blir enhetlig begrepsbruk i lover og forskrifter som stiller krav om IKTsikkerhet. Selv om samfunnskritiske virksomheter og offentlig forvaltning har forsvarlig IKT-sikkerhet, gjenstår mange digitale sårbarheter. De fleste virksomheter er avhengige av lange og komplekse digitale verdikjeder. I prinsippet kan alle IKT-systemer bli benyttet som mellomledd i angrep mot andre egentlige mål, for eksempel samfunnskritiske virksomheter. Også tilkoblede produkter kan inngå i angrepsnettverk som kan

12 10 NOU 2018: 14 Kapittel 1 IKT-sikkerhet i alle ledd skade samfunnskritiske funksjoner. Dette er risiko som i liten grad reduseres ved at det stilles krav om forsvarlig IKT-sikkerhet til samfunnskritiske virksomheter og offentlig forvaltning. Utvalget har vurdert muligheten for å underlegge alle virksomheter krav om IKT-sikkerhet i lov, ikke bare samfunnskritiske virksomheter og offentlig forvaltning. Krav i lov kan være inngripende og ressurskrevende. Utvalget mangler konkrete holdepunkter for å si hvor stort det gjenstående behovet er for å styrke IKT-sikkerheten i alle norske virksomheter. Dersom behovet er stort, taler det for å stille krav i lov til alle norske virksomheter. Utvalget anbefaler derfor at det nedsettes et eget lovutvalg som skal utrede en lov som stiller krav om IKT-sikkerhet til alle norske virksomheter. 1.2 Krav om IKT-sikkerhet ved anskaffelser Anskaffelser av IKT-tjenester kan, og vil i mange tilfeller, gi bedre trygghet og mer stabile og tilgjengelige tjenester. Med andre ord kan anskaffelser av IKT-tjenester være et fornuftig IKT-sikkerhetstiltak. Anskaffelser av slike tjenester er imidlertid ikke risikofritt. Det er utvalgets oppfatning at den største utfordringen med anskaffelser er manglende bevissthet om risikoen. For å kunne iverksette hensiktsmessige sikkerhetstiltak, er det avgjørende at virksomhetene vurderer risikoen ved alle anskaffelser. Virksomheter som blir omfattet av utvalgets forslag til ny lov om IKT-sikkerhet plikter å vurdere slik risiko. Utvalget mener at det må stilles krav om IKTsikkerhet ved alle offentlige anskaffelser. Anskaffelsesregelverket bør endres slik at oppdragsgiveren får en slik plikt. Statens standardavtaler (SSA) brukes av en rekke private virksomheter, i tillegg til offentlig sektor. Utvalget anbefaler at SSAene endres slik at IKT-sikkerhet blir tydeligere ivaretatt. Det er et stort behov for kompetanse og veiledning om IKT-sikkerhet ved anskaffelser. Utvalget mener det er viktig at den eksisterende veiledningen på anskaffelsesområdet videreutvikles til å inkludere IKT-sikkerhet i større grad. Veiledningen om anskaffelser og SSAer bør samkjøres med annen veiledning om IKT-sikkerhet. 1.3 Etablere et nasjonalt IKT-sikkerhetssenter Mange virksomheter opplever at råd og veiledning fra myndighetene er for lite koordinert mellom etatene. De er usikre på hvor de skal henvende seg når de har spørsmål om IKT-sikkerhet. Det er også utfordringer med koordinering og informasjonsdeling når uønskede digitale hendelser skal håndteres. Det er mange som etterlyser mer offentlig-privat samarbeid og en styrket innovasjonsevne innenfor IKT-sikkerhet. Det er behov for å samle kompetanse, skape synergier på tvers av sektorer og miljøer og gjøre samarbeidslinjene kortere og mer effektive. Utvalget mener at etablering av et nasjonalt IKT-sikkerhetssenter er et godt grep for å møte dette behovet. Et senter kan være en pådriver for koordinering og samordning mellom sektorer og mellom offentlige og private aktører. Det kan være et sentralt kontaktpunkt for råd og veiledning til virksomheter, det kan koordinere håndtering av uønskede digitale hendelser og dele informasjon om trusler og sårbarheter. Et IKT-sikkerhetssenter kan også tillegges oppgaver som ingen etater har ansvar for i dag, for eksempel å motta og offentligjøre informasjon om digitale sårbarheter («Coordinated Vulnerability Disclosure»). Senteret må dessuten stimulere til mer forskning, utvikling og innovasjon. Et nasjonalt IKT-sikkerhetssenter må ha en tydelig forankring i sivile myndigheter. Behovet for styrket IKT-sikkerhet er først og fremst knyttet opp mot sivile samfunnsfunksjoner og kritisk infrastruktur, både i offentlig og privat regi. Samtidig har forsvarssektoren en sentral rolle knyttet til statssikkerhet, og sivil og militær IKT-infrastruktur blir i økende grad integrert. Godt sivilt militært samarbeid er derfor en viktig oppgave for senteret. Det er også nødvendig at et slikt senter har et tydelig grensesnitt mot nasjonalt cyberkrimsenter, som er under etablering i Kripos. Parallelt med utvalgets utredning er det startet et arbeid med å etablere et nasjonalt cybersikkerhetssenter som del av NSM. Utvalget mener at det må ligge et godt beslutningsgrunnlag til grunn før det etableres et nasjonalt IKT-sikkerhetssenter i Norge. Justis- og beredskapsdepartementet, i samarbeid med Forsvarsdepartementet, må sørge for at det gjennomføres en uavhengig behovs- og kostnadsanalyse. En slik analyse må baseres på en bred involvering av potensielle interessenter i privat og offentlig sektor. Behovsanalysen må avklare IKT-sikkerhetssenterets

13 NOU 2018: IKT-sikkerhet i alle ledd Kapittel 1 myndighetsforankring og kobling til NSM, og grensedragninger mot det planlagte nasjonale cyberkrimsenteret. 1.4 Tydelig regulering og ansvar for tilkoblede produkter og tjenester Antallet produkter og tjenester som er koblet til internett er stort og i sterk økning. Manglende IKT-sikkerhet i slike produkter og tjenester kan utgjøre en trussel for forbrukere, virksomheter og samfunnssikkerheten. Ansvaret for IKT-sikkerhet på dette området bør i større grad flyttes fra forbrukeren til produsentene og leverandørene. For å oppnå dette, bør det blant annet stilles krav om innebygd sikkerhet («Security by design») i tilkoblede produkter og tjenester. Norge må videreføre sitt internasjonale samarbeid, særlig opp mot EU. Fordi mange tilkoblede produkter og tjenester brukes på tvers av landegrenser, er det viktig å ha et harmonisert regelverk internasjonalt. På denne bakgrunn mener utvalget at det er bedre å bidra til et oppdatert regelverk på EU-nivå enn at Norge unilateralt endrer regelverket på feltet. Utvalget mener videre at det må være et tett samarbeid mellom tilsynsmyndigheter som Datatilsynet, Forbrukertilsynet, DSB og Nkom når det gjelder tilkoblede produkter og tjenester. Myndighetene må gi bedre råd og veiledning til importører, forhandlere og norske produsenter på dette området. Utarbeidelse av råd og veiledning må gjøres i samarbeid med bransjeaktørene. Målsettingen bør være å forebygge at produkter uten tilfredsstillende IKT-sikkerhet lanseres på det norske markedet, og å håndtere avdekkede sikkerhetshull på en god måte. Myndighetene må også sørge for at produkter uten tilstrekkelig IKT-sikkerhet kan oppdages, varsles om og tilbakekalles. Forbrukerne må kunne heve kjøp av produkter og tjenester som ikke har tilstrekkelig IKT-sikkerhet. Utvalget mener at myndighetsansvaret for IKT-sikkerheten i tilkoblede produkter og tjenester må tydeliggjøres. Det er viktig at DSB som produktsikkerhetsmyndighet holder seg oppdatert på utviklingen, og utvalget mener DSB bør få en tydelig rolle når det gjelder varsling, rapportering, tilbakekalling og håndtering i forbindelse med manglende IKT-sikkerhet i tilkoblede produkter og tjenester. 1.5 Tydeligere styring og bedre koordinering av nasjonal IKT-sikkerhet IKT-sikkerhet griper inn i alle sektorer og virksomheter i samfunnet. Denne kompleksiteten utfordrer styringen og samordningen av nasjonal IKT-sikkerhet. Det foreligger ingen enkel oppskrift på hvordan myndighetene best mulig skal organisere seg for å møte disse utfordringene. Utvalgets informasjonsinnhenting har ikke avdekket noe åpenbart behov for å gjøre større endringer i ansvar, roller eller oppgaver til etatene. Det er imidlertid viktig at ansvarsforholdene er tydelig definert der det er tilgrensende områder, og at det er et godt og koordinert samarbeid på tvers av sektorer og etater. Utvalget mener at Justis- og beredskapsdepartementet i større grad må være en synlig aktør som tar initiativ, løser opp i uklarheter, definerer mål, koordinerer og samordner arbeidet med nasjonal IKT-sikkerhet. Det er et politikkområde som bør løftes systematisk inn i styringsprosesser og i samfunnsdebatten. Etablering av et nasjonalt IKT-sikkerhetssenter og en ny lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning vil styrke departementets evne til å utøve et tydeligere lederskap for nasjonal IKT-sikkerhet. Justis- og beredskapsdepartementet må ha en mer samordnet styring av underliggende etater når det gjelder IKT-sikkerhetsoppgaver. Utvalget mener også at Justis- og beredskapsdepartementet må være en tydelig pådriver for å samordne departementenes styringssignaler om IKTsikkerhet. Justis- og beredskapsdepartementet må tilrettelegge for at tilsyn på IKT-sikkerhetsområdet koordineres bedre, og at tilsyn med teknisk IKTsikkerhet gis økt oppmerksomhet. Utvalget mener at samarbeidet som har funnet sted mellom en rekke etater og departementer innen HMS-tilsyn, er et godt eksempel på hvordan IKTsikkerhetstilsyn kan koordineres. NSM har en sentral rolle som Justis- og beredskapsdepartementets fagmiljø innenfor IKT-sikkerhet på sivil side. De understøtter også Forsvarsdepartementet i deres ansvar på IKT-sikkerhetsområdet i forsvarssektoren. Utvalget mener at Justis- og beredskapsdepartementet og Forsvarsdepartementet må gjennomgå modellen for styring av NSM for å sikre at IKT-sikkerhet i sivil sektor blir bedre ivaretatt, samtidig som koblingen mellom sivil sektor og forsvarssektoren beholdes.

14 12 NOU 2018: 14 Kapittel 2 IKT-sikkerhet i alle ledd Kapittel 2 Mandat, sammensetning og arbeidsmåte Mandatet for utvalgets arbeid fremgår av dette kapittelet, sammen med utvalgets mandatsforståelse. Det gis en beskrivelse av utvalgssammensetningen og hvordan det har arbeidet. Til slutt gis en kort beskrivelse av strukturen og innholdet i utredningen. 2.1 Mandat Digitalisering er en avgjørende faktor for økonomisk vekst og sysselsetting. Den driver innovasjon, og bidrar til effektivisering av næringslivet og offentlig sektor. Digitalisering har ført til nye forretningsmodeller og nye næringsveier, samtidig som gamle, analoge løsninger fases ut. Den økte digitaliseringen av samfunnet har samtidig medført at samfunnets risikobilde har endret seg. Ingen virksomheter, sektorer eller nasjoner kan i dag kontrollere sin digitale sårbarhet alene. Behovet for forsvarlig IKT-sikkerhet i samfunnet har økt i takt med digitaliseringen. Et viktig aspekt er befolkningens trygghet, som inkluderer både kriminalitetsbekjempelse og beskyttelse av personvernet. Et annet aspekt er det teknologiske, der spesielt funksjonaliteten til samfunnskritiske infrastrukturer og tjenester står i fokus. Et tredje aspekt er at forsvarlig IKT-sikkerhet generelt i samfunnet vil bidra til et mer robust samfunn og dermed ha positive virkninger for nasjonal sikkerhet. Et fjerde aspekt er digitaliseringens betydning for økonomisk vekst og utvikling. For å høste gevinster av digitaliseringen er det viktig at virksomheter, offentlig forvaltning, og samfunnet som helhet har tillit til at de digitale tjenestene fungerer som forutsatt, er tilgjengelig når de trengs der de trengs og har et forsvarlig sikkerhetsnivå. I NOU 2015: 13 Digital sårbarhet sikkert samfunn ble våre digitale sårbarheter kartlagt. Som ledd i oppfølgingen av rapporten, mener regjeringen det er behov for å utrede rettslig regulering på IKT-sikkerhetsområdet og organisering av tverrsektorielt ansvar. Det vises også til Meld. St. 10 ( ) om samfunnssikkerhet og Meld. St. 38 ( ) om IKT-sikkerhet for ytterligere beskrivelser av utfordringer og regjeringens politikk på IKT-sikkerhetsområdet. Problemstilling 1 er dagens regulering hensiktsmessig for å oppnå forsvarlig nasjonal IKT-sikkerhet? Norske virksomheter må forholde seg til flere ulike regelverk innenfor IKT-sikkerhet. Regelverkene har til dels ulike formål, og benytter ofte ulike begrep og metoder. Utvalget skal: kartlegge relevant sektorspesifikt og tverrsektorielt regelverk om IKT-sikkerhet vurdere hvorvidt det eksisterende regelverket er hensiktsmessig innrettet, og om dette ivaretar de nye digitale samfunnsutfordringene vurdere om det er behov for harmonisering av eksisterende regelverk vurdere om det er behov for tverrsektoriell IKT-sikkerhetslovgivning utover det som følger av gjeldende rett Problemstilling 2 har vi en hensiktsmessig fordeling og organisering av tverrsektorielt ansvar på etatsnivå innen nasjonal IKT-sikkerhet? Digitaliseringen har medført større grad av avhengighet og sammenknytning mellom offentlig og privat, sivilt og militært og mellom ulike samfunnssektorer. Trussel- og sårbarhetsbildet endrer seg raskt samtidig som vi får et stadig mer komplekst samfunn. Dette skaper flere utfordringer for myndighetene, blant annet når det gjelder kompetanse og ressurser. Utvalget skal: vurdere om ansvar, roller og oppgaver er hensiktsmessig fordelt og organisert mellom etater med tverrsektorielt ansvar på IKT-sikkerhetsområdet vurdere hvordan det best kan legges til rette for samspill og samarbeid mellom etater med tverrsektorielt ansvar og relevante sektormyndigheter

15 NOU 2018: IKT-sikkerhet i alle ledd Kapittel 2 se på muligheter for koordinering, samarbeid og synergieffekter mellom offentlig og privat sektor slik at nasjonal IKT-sikkerhet ivaretas og styrkes med utgangspunkt i at Norge skal gjennomføre NIS-direktivet, vurdere en hensiktsmessig fordeling av de oppgaver som følger av direktivet Utvalget skal ikke se på organiseringen på departementsnivå, men kan komme med forslag om fag- og ansvarsområder som bør sees i sammenheng også på dette nivået. Problemstilling 3 hvilke regulatoriske og organisatoriske grep bør gjøres for å styrke nasjonal IKT-sikkerhet? Hvis utvalget konkluderer med at det er behov for endringer for problemstilling 1 eller 2, skal utvalget foreslå konkrete rettslige og organisatoriske tiltak. Utvalget står fritt til å foreslå rettslige og organisatoriske tiltak som kan forbedre arbeidet med og styrke nasjonal IKT-sikkerhet. Forslagene kan innebære mindre endringer i oppgaveporteføljer og harmonisering av eksisterende regelverk, sammenslåing av etater, opprettelse av nye etater og utarbeidelse av nytt regelverk. Utvalget må vurdere hvilke virkemidler som vil få best effekt. Generelt om utvalgets arbeid Utvalget skal innhente innspill fra, og ha dialog med, berørte aktører både i privat og offentlig sektor og andre med interesse for arbeidet. Utvalget skal i sitt arbeid se til andre sammenlignbare land for hvordan nasjonal IKT-sikkerhet ivaretas gjennom rettslig regulering og fordeling av tverrsektorielt ansvar mellom myndigheter på etatsnivå. Det skal etableres en referansegruppe med deltakelse fra Justis- og beredskapsdepartementet, Forsvarsdepartementet, Kommunal- og moderniseringsdepartementet, Samferdselsdepartementet, Nærings- og fiskeridepartementet og Statsministerens kontor. Utredningen skal være avgrenset mot bestemmelser, organisering og myndighet som følger av sikkerhetsloven og forslag til ny sikkerhetslov (Prop. 153 L ( ) Lov om nasjonal sikkerhet). Utvalget må se hen til EUs NIS-direktiv og Norges arbeid med gjennomføring av direktivet. Utvalget skal legge til grunn at Norge kommer til å gjennomføre direktivet slik det er utformet. Det innebærer at alle forpliktelser som følger av direktivet skal gjelde for Norge. Justis- og beredskapsdepartementet skal orientere utvalget om utviklingen i arbeidet med gjennomføring av direktivet i Norge. Utvalget må også se hen til gjeldende personvernregelverk, samt EUs nye regelverk om personvern (GDPR), inkludert Norges arbeid med gjennomføring av dette. Utvalget skal utforme eventuelle lovforslag i samsvar med anbefalingene fra Justis- og beredskapsdepartementet i veilederen «Lovteknikk og lovforberedelse». Utvalget skal fremme forslag til endringer i andre lover og forskrifter som er en følge av utvalgets øvrige forslag. Det må vurderes hva som bør reguleres i lov og hva som eventuelt bør reguleres i forskrift eller retningslinjer. Utredningen skal gjennomføres i samsvar med kravene i utredningsinstruksen, fastsatt ved kongelig resolusjon 19. februar Dersom det er behov for avklaringer av eller å gjøre mindre endringer i mandatet så skal utvalget ta dette opp med Justis- og beredskapsdepartementet som kan beslutte disse. Utvalget skal levere sin utredning i form av en NOU innen 1. desember Utvalgets mandatforståelse Det er utarbeidet et omfattende kunnskapsgrunnlag på IKT-sikkerhetsområdet de siste årene, blant annet knyttet til digitale sårbarheter og hvilke trusler vi står overfor. Utvalget har tatt utgangspunkt i dette kunnskapsgrunnlaget i sitt arbeid. I tillegg har utvalget innhentet egne data spesielt knyttet til organisering og regulering. Se punkt 2.3 om utvalgets arbeid Begrepet IKT-sikkerhet Begrepet IKT-sikkerhet har ikke en entydig definisjon. Det har grenseflater mot, eller oppfattes som synonymt med, informasjonssikkerhet, cybersikkerhet og digital sikkerhet. Innholdet i disse varierer og glir i noen grad over i hverandre. I noen dokumenter benyttes begrepene helt eller delvis synonymt, i andre tillegges de ulikt innhold. Innholdet i begrepet IKT-sikkerhet har endret seg noe over tid. Tradisjonelt har beskyttelse av nettverk og systemer vært vektlagt. I dag omfatter begrepet i større grad informasjonen som behandles i systemene og nettverkene samt tjenestene som systemene leverer. IKT-sikkerhet forstås i denne utredningen som beskyttelse av IKT-systemene, samvirket mellom systemene, tjenestene som leveres av

16 14 NOU 2018: 14 Kapittel 2 IKT-sikkerhet i alle ledd systemene, eller informasjon som behandles i systemene. Sikkerhetsmålene for IKT-sikkerhet er tilgjengelighet, dvs. at IKT-systemene, informasjonen som behandles i systemene, og tjenestene tilknyttet systemene er tilgjengelig der og når det trengs for brukerne integritet, dvs. at IKT-systemene, informasjonen som behandles i systemene, og tjenestene tilknyttet systemene ikke endres utilsiktet eller uautorisert konfidensialitet, dvs. at IKT-systemene, informasjonen som behandles i systemene, og tjenestene tilknyttet systemene kun er tilgjengelige for dem som rettmessig skal ha tilgang Den enkelte virksomhet vil vekte sikkerhetsmålene ulikt ut fra hvilket formål den har eller skal understøtte, og hvilke krav og hvilket risikobilde den må forholde seg til. Basert på disse målene og vektingen av dem vil beskyttelsen omfatte teknologiske, menneskelige og organisatoriske barrierer, som skal motvirke uønskede digitale hendelser, evne til å oppdage slike hendelser og påfølgende reaksjon for å gjenopprette en sikker tilstand for IKT-systemene Forsvarlig nasjonal IKT-sikkerhet Forsvarlig nasjonal IKT-sikkerhet er en overordnet målsetting i mandatet. Utvalget legger til grunn at bruken av ordet nasjonal innebærer IKTsikkerhet som har betydning for samfunnet som helhet. Med ordet forsvarlig forstår utvalget at det skal være et minimumsnivå på sikkerheten. Hva som må til for å oppnå et minimumsnivå, er imidlertid ikke entydig. Utvalget legger til grunn at forsvarlig IKT-sikkerhet kommer godt til uttrykk i NSMs grunnprinsipper for IKT-sikkerhet. 1 Disse bygger på anerkjente standarder og rammeverk i Norge og internasjonalt, og beskriver hva en virksomhet bør gjøre for å sikre sine IKT-systemer. En virksomhet som etterlever disse prinsippene, vil ha forsvarlig IKT-sikkerhet. Hovedpunktene i prinsippene er: 2 1. Identifisere og kartlegge gjør risikovurdering 2. Beskytte sikre verdiene dine 1 2 Nasjonal sikkerhetsmyndighet (2017) NSMs grunnprinsipper for IKT-sikkerhet. Hovedpunktene i grunnprinsippene samsvarer med hovedpunktene i veiledningen til NIS-direktivet som det britiske cybersikkerhetssenteret har utarbeidet, National Cyber Security Center (2018) NIS Guidance Collection. 3. Opprettholde og oppdage vær bevisst 4. Håndtere og gjenopprette lær av utfordringene dine Hvert grunnprinsipp har underliggende teknologiske og organisatoriske sikringstiltak som beskriver hva som bør gjøres Regulering Første del av mandatet omfatter å vurdere om dagens regulering er hensiktsmessig for å oppnå forsvarlig nasjonal IKT-sikkerhet. Utgangspunktet for utvalget er at en regulering anses å stille krav om IKT-sikkerhet hvis den inneholder bestemmelser om beskyttelse av IKTsystemene, tjenestene som leveres av systemene, eller informasjon som behandles i systemene. Med begrepet tverrsektorielt regelverk forstås regelverk som stiller krav til offentlige og/eller private virksomheter i to eller flere samfunnssektorer. Utvalget har lagt til grunn at begrepet regelverk omfatter lov, forskrift og instrukser, mens begrepet regulering også omfatter soft law (standarder, bransjepraksis og veiledere). Eksempler her er NSMs grunnprinsipper, Difis og Datatilsynets veiledere om informasjonssikkerhet, og Normen i helsesektoren Organisering Andre del av mandatet innebærer å vurdere om Norge har en hensiktsmessig fordeling og organisering av tverrsektorielt ansvar på etatsnivå innen nasjonal IKT-sikkerhet. Utvalget legger til grunn at etater med tverrsektorielt ansvar har oppgaver som berører mer enn én statsråds sektoransvar, og har særlig vurdert følgende etater med tverrsektorielt ansvar på IKT-sikkerhetsområdet: Nasjonal sikkerhetsmyndighet (NSM) Direktoratet for samfunnssikkerhet og beredskap (DSB) Direktoratet for forvaltning og IKT (Difi) Nasjonal kommunikasjonsmyndighet (Nkom) Datatilsynet NSM, DSB og Difi er de som tydeligst har tverrsektorielt ansvar. Nkom er i utgangspunktet en sektormyndighet, men det elektroniske kommunikasjonsnettet (ekomnett) er en integrert del av den nasjonale 3 Normen i helsesektoren er et omforent sett av krav til informasjonssikkerhet basert på regelverket.

17 NOU 2018: IKT-sikkerhet i alle ledd Kapittel 2 IKT-infrastrukturen. For de fleste virksomheter er ekomnett og -tjenester også en integrert del av egne IKT-systemer. I et slikt perspektiv er Nkoms ansvarsområde tverrsektorielt, noe som også kommer til uttrykk i det utstrakte samarbeidet etaten har på sikkerhetsområdet med blant andre NSM og DSB. Datatilsynets oppgaver og kompetansefelt er tverrsektorielt i og med at personvernlovgivningen er allmenn og griper inn i alle sektorer. Datatilsynet skiller seg likevel fra de andre ved at det er et mer uavhengig organ som ikke instrueres av et departement. I vår tid er personvern uløselig knyttet til IKT-sikkerhet, og Datatilsynet er derfor en sentral aktør på dette området Øvrige avgrensninger Det følger av mandatet at utredningen er avgrenset mot eksisterende sikkerhetslov og forslaget til ny sikkerhetslov. Med det mener utvalget at det ikke skal foreslås endringer i denne loven. Grensesnitt mellom sikkerhetsloven og regelverk på IKT-sikkerhetsområdet utenfor sikkerhetsloven er imidlertid beskrevet. Utvalget har ikke vurdert organisering i politietaten eller Forsvaret. Følgende grensesnitt er i noen grad behandlet: mellom sivil sektor og forsvarssektor, herunder den gjensidige avhengigheten mellom politiet og relevante aktører når det gjelder IKT-kriminalitet mellom kommunalt og statlig nivå knyttet til IKT-sikkerhet 2.3 Sammensetning og utvalgets arbeid Utvalget har hatt åtte medlemmer: leder: skattedirektør Hans Christian Holte, Oslo direktør for cybersikkerhet Terje Wold, Tromsø administrerende direktør Håkon Grimstad, Trondheim Head of Cyber Security Advisory Lillian Røstad, Nesodden direktør internett og nye medier Torgeir A. Waterhouse, Oslo forskningsleder Marie Moe, Trondheim professor Lee A. Bygrave, Oslo lagdommer Therese Steen, Oslo Utvalget har vært støttet av et sekretariat. Sekretariatslederfunksjonen har vært delt mellom Roger Kolbotn og Sveinung Torgersen fra Justisog beredskapsdepartementet. I tillegg har sekretariatet bestått av Christian Frederik Mathiessen og Ola Hermansen fra Justis- og beredskapsdepartementet, Anniken Grønli Foss fra Difi, Harald Fardal fra DSB, og Klaus Søreide og Anders Bjønnes fra NSM. Sekretariatsmedlemmene har hatt ulike prosentstillinger. Utvalget har avholdt 13 møter fra oktober 2017 til november Enkelte møter har hatt to dagers varighet. I samme periode har det vært gjennomført to møter med referansegruppen, der utvalgsleder og sekretariatsleder har deltatt. Utvalgets arbeid er basert på ulike metoder og datagrunnlag. Det har vært gjennomført samtaler med en rekke virksomheter der formålet har vært å få belyst de største utfordringene og de viktigste tiltakene knyttet til organisering og regulering av nasjonal IKT-sikkerhet. I tillegg har enkelte fagpersoner og forskere holdt innlegg om ulike temaer på området. Hos Felles cyberkoordineringssenter fikk utvalget og sekretariatet en oppdatert og sikkerhetsgradert vurdering fra Etterretningstjenesten, PST, NSM og Kripos om de viktigste truslene og sårbarhetene vi som samfunn står overfor når det gjelder IKT-sikkerhet. Representanter fra sekretariatet har deltatt på utenlandsreiser til Storbritannia, Sverige og Danmark. I tillegg har sekretariatet fått relevante reiserapporter fra Estland og Nederland. Hensikten med utlandsbesøkene har vært å få bedre kjennskap til hvordan andre land arbeider med nasjonal IKT-sikkerhet. Utover dette har informasjon om andre lands organisering og regulering blitt skaffet til veie gjennom de respektive landenes offisielle nettsider og strategidokumenter. Sekretariatet hadde innledningsvis i arbeidet egne møter med Difi, DSB, NSM, Datatilsynet og Nkom. Hensikten var å møte saksbehandlere og fagpersoner i virksomhetene som jobber med tverrsektorielle oppgaver innen IKT-sikkerhet, og få høre om deres oppgaver og syn på nasjonale utfordringer. I tillegg ønsket sekretariatet å gjennomføre samtalene som en forundersøkelse, slik at den øvrige informasjonsinnhentingen ble mer spisset. Utvalget ba om skriftlige innspill fra 186 virksomheter i offentlig og privat sektor. Virksomhetene ble identifisert gjennom en interessentanalyse, og de representerer departementer, direktorater og statlige etater, ulike virksomheter i det private næringslivet, fagforeninger, interesseorganisasjoner, utvalgte kommuner og fylkeskommu-

18 16 NOU 2018: 14 Kapittel 2 IKT-sikkerhet i alle ledd ner og relevante ikke-statlige organisasjoner. Det var åpne spørsmål uten svaralternativer, og respondentene ble bedt om å begrunne svarene. Spørsmålene var særlig knyttet til utfordringer med dagens regulering og myndighetenes organisering av arbeidet med nasjonal IKT-sikkerhet, og hvilke tiltak som kan iverksettes for å styrke IKTsikkerheten i samfunnet. Undersøkelsen ble utført i perioden fra januar til mars 2018, og det kom svar fra ca. 90 virksomheter. Det er noen utfordringer med å behandle data fra et spørreskjema med åpne spørsmål. Det kan være krevende å formulere spørsmål som er tilstrekkelig åpne og nøytrale, og det kan være vanskelig å svare tilfredsstillende på komplekse spørsmål i en skriftlig tilbakemelding. Kvaliteten på svarene som utvalget fikk varierte også noe. Spørsmålene ble sendt til virksomhetene, og det kan være litt tilfeldig hvem som har svart. Enkelte ganger har det vært sikkerhetslederen, andre ganger IT-ansvarlig, juridisk direktør eller andre. Utvalget kan ikke se bort fra målefeil, avhengig av hvem som har svart. Det kan også tenkes at utvalget i enkelte tilfeller ville fått et annet svar hvis en annen person i samme virksomheten hadde svart på samme spørsmål. Dette kan svekke reliabiliteten noe. På noen spørsmål kan det se ut som manglende kompetanse og kunnskap preger svarene. Det er allikevel ikke grunn til å tro at undersøkelsen har systematiske målefeil, og samlet sett gir svarene et rimelig bilde av hvordan sentrale virksomheter ser på utfordringer og mulige tiltak. Utvalget har gjennomgått eksisterende lover, forskrifter og instrukser basert på tekstsøk i Lovdata. Ved å bruke ulike søkeord har utvalget kartlagt og gjennomgått relevante lover, forskrifter og instrukser. Utvalget har vurdert relevansen av disse opp mot eksisterende litteratur på området samt tilbakemeldingene om relevant regelverk fra virksomheter som har svart på utvalgets spørreskjema. Utvalget arrangerte en workshop blant Norsk informasjonssikkerhetsforums (ISF) medlemmer. På møtet deltok 75 personer fra 55 virksomheter, i hovedsak fra det private. Deltakerne var personer som har særlig interesse av eller kunnskap om IKT-sikkerhet i sine virksomheter, og det var relevant for utvalget å få informasjon om deres syn på nasjonal IKT-sikkerhet. Deltakerne ble bedt om å diskutere de største utfordringene med dagens organisering og regulering av IKT-sikkerhet og relevante tiltak. Som en del av utredningen har Oslo Economics gjennomført en samfunnsøkonomisk analyse med grunnlag i utvalgets anbefalinger (se digitalt vedlegg). Analysen ble utført parallelt med at utvalget utarbeidet sine anbefalinger. Teknologirådet har i tillegg bidratt til teksten om teknologitrender og sikkerhetsutfordringer i kapittel 4. I tillegg har utvalget og sekretariatet gjennomført dokumentstudier av evalueringer og forskningsrapporter, stortingsdokumenter, NOU-er, tildelings- og iverksettingsbrev, årsrapporter og annen relevant litteratur. Se vedlegg 4 for nærmere beskrivelse av datagrunnlaget. 2.4 Struktur og innhold Utredningen er delt inn i seks deler. I del I inngår sammendraget, mandatet og utvalgets mandatforståelse. I del II beskrives noen grunnleggende utviklingstrekk i samfunnet som har betydning for organisering og regulering innenfor IKT-sikkerhet. Utfordringsbildet knyttet til organisering og regulering innenfor IKT-sikkerhet er drøftet i del III etterfulgt av utvalgets tiltak og anbefalinger i del IV. Økonomiske og administrative konsekvenser knyttet til utvalgets anbefalinger beskrives i del V. Til slutt følger utredningens vedlegg.

19 Del II Situasjonsbeskrivelse

20

21 NOU 2018: IKT-sikkerhet i alle ledd Kapittel 3 Kapittel 3 IKT-risikobildet Dette kapitlet beskriver samfunnets verdier, sårbarheter knyttet til verdiene og trusler som kan ramme verdiene. 3.1 Verdier Utvalget legger til grunn den samme forståelsen av hva som er grunnleggende samfunnsverdier, som i NOU 2015: 13 Digital sårbarhet sikkert samfunn: 1 Våre grunnleggende samfunnsverdier kommer til utrykk både i nasjonal og i internasjonal rett. Grunnloven og rettssystemet vårt bygger på rettsstatsprinsipper som legalitetsprinsippet, rettssikkerhetshensyn, demokratihensyn og menneskerettigheter, herunder personvern, ytringsfrihet og forsamlingsfrihet. Disse verdiene gir uttrykk for både hva som er enkeltindividets rettigheter og friheter, og hva som skal til for at de kan realiseres. Verdiene er også «fundamentet for reguleringen av det innbyrdes forholdet mellom statsmaktene ved maktfordelingsprinsippet og forholdet mellom staten og befolkningen». 2 Arbeidet med samfunnssikkerhet er en viktig brikke i ivaretakelsen av de grunnleggende samfunnsverdiene. Samfunnssikkerhet handler om 3 [s]amfunnets evne til å verne seg mot hendelser som truer grunnleggende verdier og funksjoner og setter liv og helse i fare. Slike hendelser kan være utløst av naturen, være et utslag av tekniske eller menneskelige feil eller bevisste handlinger. Det overordnede målet med samfunnssikkerheten er altså å ivareta grunnleggende samfunnsverdier. Samlet sett er det en rekke funksjoner i samfunnet som er kritiske for å ivareta disse verdiene. 4 Disse funksjonene ivaretas av private og offentlige virksomheter. Svikt i eller bortfall av leveransene til slike virksomheter kan få konsekvenser utover deres egen virksomhet, og med betydelige negative følger for samfunnet. Det er derfor viktig at samfunnskritiske virksomheter sikres godt. Fordi samfunnssikkerhet også er et myndighetsansvar, har myndighetene behov for å ha en viss kontroll og styring med sikkerheten i disse virksomhetene. Verdiene som trekkes frem i mandatet, må ses i denne konteksten. Der vises det til befolkningens trygghet, samfunnskritisk infrastruktur, nasjonal sikkerhet og økonomisk vekst og utvikling. Disse verdiene griper inn i og er avhengige av hverandre, og må beskyttes for å opprettholde et trygt, fritt og velfungerende samfunn. 3.2 Sårbarheter Digitalisering er et globalt fenomen. Den digitale utviklingen er avgjørende for verdiskaping og vekst, men fører også til nye sårbarheter og dilemmaer. Stadig flere systemer og enheter kobles sammen, slik at den samfunnsmessige sårbarheten utvides. Dette gjør systemer, infrastrukturer og verdikjeder utsatt for hendelser som kan få negative konsekvenser for enkeltindivider, for den enkelte virksomhet og for samfunnet som helhet. 5 Utviklingen der «alt henger sammen med alt», utgjør en strukturell sårbarhet i samfunnet på flere måter. De fleste virksomheter er avhengige av digitale tjenester som er levert av andre, for egen produksjon eller aktivitet. Sårbarheter og feil 1 NOU 2015: 13 Digital sårbarhet sikkert samfunn, kapittel 3. 2 Ibid. 3 Meld. St. 10 ( ) Risiko i et trygt samfunn. 4 5 Direktoratet for samfunnssikkerhet og beredskap (2016) Samfunnets kritiske funksjoner. Se mer informasjon i boks Nasjonal sikkerhetsmyndighet (2018) Risiko 2018.

22 20 NOU 2018: 14 Kapittel 3 IKT-sikkerhet i alle ledd forplanter seg raskt mellom leddene i verdikjeden og kan få uante konsekvenser. Tjenester, systemer, virksomheter og infrastrukturer arver sårbarheter fra hverandre. Lysne-utvalget skrev i sin utredning at på grunn av de digitale verdikjedene er det ingen virksomheter som har full oversikt over egne sårbarheter. 6 Verdikjedene er sårbare for alle typer hendelser, både de som skyldes bevisste handlinger, og de som skyldes feil eller ulykker. For en enkeltperson kan en feil i ett ledd i verdikjeden føre til bortfall av en viktig digital tjeneste, for eksempel nettbanken. Gjensidige avhengigheter og sårbarheter i digitale verdikjeder kan i ytterste konsekvens påvirke samfunns- og statssikkerheten. Økende globalisering innebærer sårbarhet overfor uønskede hendelser som har sin opprinnelse utenfor landegrensene og dermed utenfor norsk kontroll. Ekomsektoren er et godt eksempel på dette. I Lysne-utvalgets rapport fremgår det at det er en av de mest kritiske sektorene i et digitalisert samfunn. 7 Nkom skriver i sin årlige risikovurdering at forringelse av nasjonal kontroll over kritisk tjenesteproduksjon og et uforutsigbart sikkerhetspolitisk bilde utgjør en økende risiko innen elektronisk kommunikasjon. 8 Produksjon av norske elektroniske kommunikasjonsløsninger avhenger i stor grad av fysisk infrastruktur og innsatsfaktorer fra leverandører utenfor Norge. Tilgang til profesjonelle og mer effektive tjenester som gir større forutsigbarhet, stabilitet og bedre finansieringsmodeller, gjør at flere IKT-funksjoner settes ut til en tredjepart, også til lavkostland. Tjenesteutsetting av IKT-tjenester til profesjonelle aktører kan gi bedre sikkerhet og mer stabile og tilgjengelige tjenester, i tillegg til lavere og mer forutsigbare kostnader. Samtidig kan det føre til økt risiko på grunn av redusert kontroll over stadig mer komplekse verdikjeder. Stadig flere enheter, prosesser og tjenester kobles til internett. Internett har utviklet seg til å bli verdens kanskje viktigste infrastruktur og utgjør ryggraden i den globale flyten av varer, tjenester og informasjon. Fremveksten av tingenes internett og andre teknologitrender kan skape nye sikkerhetsutfordringer. Noen utvalgte trender behandles nærmere i kapittel 4. 6 NOU 2015: 13 Digital sårbarhet sikkert samfunn. 7 Ibid. 8 Nasjonal kommunikasjonsmyndighet (2017) EkomROS Internasjonal cyberpolitikk er fremdeles i støpeskjeen. Det finnes ingen overordnet aktør som styrer infrastrukturen globalt. Det er få mellomstatlige arenaer for å utvikle kjøreregler for statlig oppførsel i det digitale rommet og få internasjonale konvensjoner som spesifikt regulerer det. Utviklingen av internett og digitale produkter og tjenester foregår i all hovedsak gjennom private selskaper og i forsknings- og utviklingsmiljøer. Viktige beslutninger om utvikling og sikkerhet i det digitale rommet og i digitale produkter og tjenester blir i stor grad fattet av kommersielle aktører med begrenset påvirkning fra myndigheter. Disse aktørene befinner seg i all hovedsak utenfor Norges grenser. Utformingen av normer, konvensjoner og reguleringer som får direkte betydning for Norge, foregår også i stor grad internasjonalt. Mange store IKT-sikkerhetsutfordringer er grenseoverskridende, og de kan best løses i fellesskap. EUs arbeid med digital sikkerhet påvirker for eksempel direkte Norges evne til å sikre nasjonale nettverk. NIS-direktivet som skal bidra til et felles sikkerhetsnivå i nettverks- og informasjonssystemer i EU, er et godt eksempel på dette, i tillegg til personvernforordningen (General Data Protection Regulation (GDPR)) og Cybersecurity Act. 9 NATOs krav om at medlemslandene skal ha robuste sivile elektroniske kommunikasjonsnett, er et annet eksempel på en internasjonal forpliktelse som Norge må forholde seg til. 10 Tilgang til IKT-sikkerhetskompetanse fremstår som en av de største utfordringene på IKTsikkerhetsområdet. En rekke dokumenter peker på dette som en økende utfordring. 11 I 2030 vil det ifølge estimatene være et underskudd på 4100 personer med slik kompetanse i det norske samfunnet. 12 På globalt nivå er det estimert at det i år 2022 vil være et underskudd på personer med IKT-sikkerhetskompetanse. 13 Manglende kompetanse er en utfordring ikke bare for enkeltindividet, men også for virksomheter og samfunnet. Kompetansesituasjonen påvirker 9 NIS-direktivet og Cybersecurity Act er omtalt i vedlegg NATO Commitment to enhance resilience, erklæring fra NATO-toppmøtet juli Meld. St. 10 ( ) Risiko i et trygt samfunn, Meld. St. 38 ( ) IKT-sikkerhet. Et felles ansvar, NOU 2015: 13 Digital sårbarhet sikkert samfunn NIFU (2017). IKTsikkerhetskompetanse i arbeidslivet behov og tilbud. I tillegg utvalgets informasjonsinnhenting. 12 NIFU (2017) IKT-sikkerhetskompetanse i arbeidslivet behov og tilbud. 13 Frost, & Sullivan. (2017) Global Information Security Workforce Study.

23 NOU 2018: IKT-sikkerhet i alle ledd Kapittel 3 utviklingen av IKT-systemer og programvare, driften av systemene og hvordan lover og forskrifter, råd, veiledere, rutiner og styringssystemer er uformet og fulgt opp. IKT-personell må ha kompetanse til å implementere tilstrekkelig sikkerhet, og det er behov for spesialisert sikkerhetskompetanse, for eksempel innenfor kryptografi. God evne til å avdekke og håndtere uønskede digitale hendelser krever også spesialistkompetanse på flere områder. NSM vurderer det økende gapet mellom tilgjengelighet og behov for sikkerhetskompetanse som en nasjonal sårbarhet. 14 Sikkerhetsarbeidet i en virksomhet er et lederansvar. Erfaringer fra tilsyn gjennomført av NSM viser imidlertid at sikkerhetsarbeidet fortsatt i for liten grad inngår som et naturlig ledd i den totale ledelsen av virksomheten. Dette får konsekvenser i form av manglende kunnskap og bevissthet om risiko og egne tiltak, svak organisering, manglende prioriteringer og utilfredsstillende ressurstildeling. Svakheter som er avdekket gjennom tilsyn, lar seg ofte tilbakeføre til ledelsesutfordringer. Det registreres imidlertid økt etterspørsel etter informasjon, råd og veiledning fra ledernivåer Trusler Etterretningstjenesten, NSM og PST utgir årlige nasjonale vurderinger som viser hvilke trusler Norge som samfunn står overfor. 16 I tillegg bidrar forskningsinstitusjoner og offentlige og private virksomheter til å synliggjøre sikkerhetsutfordringer som både enkeltpersoner og samfunnet for øvrig må forholde seg til. En stor andel av uønskede hendelser er utilsiktet. Feil og utfall i IKTsystemer og -tjenester skjer på grunn av menneskelige feil, programvarefeil, utstyrsfeil, 14 Nasjonal sikkerhetsmyndighet (2018) Risiko 2018, s Ibid. 16 Etterretningstjenesten (2018) Fokus 2018, Nasjonal sikkerhetsmyndighet (2018) Risiko 2018 og Politiets sikkerhetstjeneste (2018) Trusselvurdering naturhendelser, eller en kombinasjon av disse. Nkom viser blant annet til at Norge i 2016 hadde tre tilfeller av ekstremvær som forårsaket skader på infrastruktur som ga utfall av kraft og elektronisk kommunikasjon. 17 Tilsiktede uønskede digitale hendelser er et økende problem. Dette er aktiviteter som kan være krevende å kartlegge, og som i ytterste konsekvens kan utgjøre en alvorlig trussel mot norske interesser og privatpersoner. Målet til angriperne kan være å skade en motpart ved å påvirke, redusere eller ødelegge funksjonaliteten i produksjonssystemer. Det kan også være å stjele privat informasjon fra enkeltpersoner eller skaffe seg informasjon om stats- og forretningshemmeligheter, forskningsresultater eller teknologiske nyvinninger fra kommersielle bedrifter. Man ser også handlinger som retter seg mot grunnleggende verdier og demokratiske funksjoner i samfunnet, for eksempel gjennom desinformasjon og påvirkningskampanjer. I Helhetlig IKT-risikobilde trekker NSM frem at underleverandører og kontraktører i økende grad blir utsatt for målrettede operasjoner. 18 I tillegg er også tilfeldige systemer i tiltakende grad utsatt for kompromittering ved at de kan bli utnyttet for videre nettverksoperasjoner mot andre mål. Dette kan i prinsippet være et hvilket som helst IKT-system, som ikke er et mål i seg selv, men som fungerer som mellomledd mellom en angriper og det egentlige målet. Når det gjelder hvilke metoder som brukes i dag, slår NSM fast at mange digitale angrep innledes med bruk av ulike varianter av skadevare distribuert via e-post. Innhold og utforming fremstår som relevant og legitimt for mottakeren, men lenker og vedlegg inneholder skadelig kode som aktiveres ved at man klikker på lenken eller åpner vedlegget. NSM trekker også frem krypteringsvirus og innsidere som særlig aktuelle trusler. 17 Nasjonal kommunikasjonsmyndighet (2017) EkomROS Nasjonal sikkerhetsmyndighet (2016) Helhetlig IKT-risikobilde 2016.